BRAND VOICE — ENTREPRISES & STRATÉGIES — Technologies

EY LUXEMBOURG

Cybersécurité: la résilience, un incontournable



282756.jpg

Alexandre Minarelli, Associate Partner, Cybersecurity & Data Privacy, EY Luxembourg & Alejandro Del Rio, Manager, Cybersecurity & Data Privacy, EY Luxembourg. Crédit : EY Luxembourg

À l’heure où les organisations poursuivent leurs stratégies de transformation numérique, la sécurité doit s’afficher comme une priorité pour tous.

Néanmoins, les stratégies de sécurité ne doivent pas se limiter à la sécurisation des périmètres réseaux ou à la mise en place d’antivirus, de systèmes de prévention ou de détection d’intrusion, mais doivent également permettre d’être résilientes et de se rétablir rapidement en cas d’incident. La «cyber-résilience» peut être définie comme la capacité de détecter, résister, répondre ainsi que de se rétablir d’une cyberattaque dans un délai raisonnable. 

Pour l’atteindre, les entreprises et gouvernements doivent avoir connaissance des nouveaux domaines de vulnérabilité et élaborer une stratégie solide afin de gérer les risques liés à la cybersécurité et de créer des conditions durables et nécessaires à la poursuite du processus de numérisation. Plus encore, le succès d’une stratégie de cyber-résilience requiert une connaissance approfondie du paysage entrepreneurial, l’identification des activités de transformation essentielles devant être préservées afin de garantir la continuité des opérations et la protection des actifs et des employés lors d’une cyberattaque.

Après l’identification des systèmes et applications à haut risque pour l’entreprise intervient la mise en place de contrôles de cybersécurité à l’échelle de l’entreprise Il est ainsi primordial de placer les employés au centre des stratégies de cybersécurité et d’investir davantage de temps et de ressources dans la formation et la sensibilisation de leur personnel, tout en essayant de développer des programmes de formation novateurs, motivants, axés sur des situations contextualisées.

La cyber-résilience impliquant de prendre en compte la sécurité au niveau de la conception des nouvelles applications, processus et solutions commerciales, il importe donc également de contracter avec des fournisseurs et des tiers qui disposent de cadres de gestion en matière de cybersécurité et d’une feuille de route claire visant à démontrer l’alignement de leurs capacités en matière de sécurité avec les environnements réglementaires. Souvent, les sociétés disposant d’une certification ISO 27001 et/ou d’un rapport de type «SOC» ont mis en place un certain nombre de mesures de sécurité. Par contre, il est crucial de conserver un minimum de contrôles de sécurité en place pour les tiers disposant d’un accès à distance au réseau de l’entreprise.

Enfin, pour réussir une stratégie de cyber-résilience, la mise en place de structures de gouvernance effectives, légères et efficaces est incontournable. Conseils d’administration et direction doivent non seulement communiquer leur soutien à ce type de stratégie, mais doivent aussi disposer de toutes les connaissances en matière de cyber-risque. Les entreprises ayant un RSSI/CISO en poste doivent lui garantir un accès direct au Conseil d’Administration, plate-forme idéale pour permettre au Conseil d’Administration et au RSSI/CISO de définir une stratégie de cyber-résilience adaptée permettant à l’entreprise d’atteindre ses priorités commerciales.

Des mutations technologiques rapides associées à un nombre croissant d’objets et de systèmes connectés rendent les tentatives de gestion de menaces très difficiles, voire impossibles dans le domaine de la cybersécurité. De ce fait, en adoptant une stratégie de cyber-résilience, une entreprise peut ainsi limiter ses contrôles en termes de cybersécurité, et ce tout en continuant d’optimiser la valeur de ses investissements et de réduire son exposition aux risques.